如今的网络环境,网络攻击与威胁呈现持续性和扩大化的发展趋势,安全对抗日趋激烈——我们常常能够听到类似的论述,总之就是一句话,前路是困难的,问题是严峻的。
但对于很多普通用户来说,网络攻击、病毒威胁似乎有些遥远,只有在新闻或是别人口中才能听到某某中招的消息。一面是“外面的世界很危险”,另一面又是自家网络“云淡风轻,岁月安好”。为什么会出现这样的割裂呢?
答案当然不是安全公司为制造焦虑让用户买单而编造的谎言。网络安全的形势严峻自然不假,只不过随着时代的发展,技术的进步,现阶段的攻击者已脱离了早期的个体户、无差别炫技式的攻击,转而走向集团化、产业化,攻击的手段变得愈发隐蔽不易察觉,攻击的目标也变成了大型的企业机构等这类更有价值的对象。说白了,自家网络的云淡风轻,可能只是因为“主不在乎”。
那么是否意味着,对于大多数普通用户来说,安全的建设只是镜中花、水中月,实际上根本没有必要呢?当然不是,目前的攻击者虽然主要针对的是“高大上”的目标,但城门失火必然殃及池鱼,普通用户中招也总是不可避免,并且对于普通用户来说,一旦中招,后果是灾难性的。
因此,相较于“高大上”用户多花钱、全方位无死角的网络安全建设目标来说,绝大多数普通用户的要求其实并不高,预算也没有那么多。内网主机有没有中毒被控,或者被滥用(比如挖矿),是这类用户的最基本最朴素的网络安全诉求。
威胁情报:简单普惠的安全能力
对于上文所述的广大用户来说,使用威胁情报是性价比最高的应对措施之一。
根据Gartner的定义,威胁情报是“一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。”
上面的描述或许过于抽象,我们来尝试说得简单一些。区别于传统安全中关注黑客攻击的特征,威胁情报更多地关注黑客在发起一次网络攻击时用到的数字资产(IP、域名、URL等)。这也就使得原本需要进行深度解包才可以发现的威胁,变成了只需要关注对端发起/接收流量的通信对象。简而言之,威胁情报就是一份“通缉令”,我们可以根据它来抓网络中的坏人(病毒、恶意站点等)。在绝大多数安全相关的场景,如虚拟货币整治、恶意流量拦截等,我们都可以使用威胁情报,以提高用户网络的安全性。
引入威胁情报,可以使得原本不具备网络威胁攻击检测能力的流量管控类设备,在经过简单的升级之后迅速具备网络攻击的识别与拦截能力。也就是说,对于绝大多数安全要求相对没有那么高的用户而言,其实无需购买太多安全设备,流量管控设备+威胁情报即可满足需求。
低至千元级别的威胁情报引擎
所谓好马配好鞍,有了威胁情报这个“好鞍”,还需搭配优质的情报引擎来作为“好马”,方能最大限度发挥其用。
Panabit作为性能强大且能力优秀的流量管控平台,自然是作为威胁情报引擎的好选择。在今日发布的Panabit专业版TANGr4版本*中,就增加了威胁情报模块,用户升级后即可获取到这份简单高效的安全能力。
*注:我们在上周已发布了标准版(免费版)升级包(标准版不支持威胁情报模块),关于版本更新的其他内容,可以参考我们上周发布的文章:终于等到你,新年版本第一更
值得一提的是,基于国产化平台的AX50系列也同样支持威胁情报,用户可以在千元级别的一体化网关设备上享受数十万条级别的威胁情报库,进一步让这份安全能力惠及更广大的普罗大众。
Panabit的威胁情报模块内置了16种类型的威胁情报,免费使用,用户可以根据自己的需要选择开启各种类别。
1
用户的会话命中威胁特征库中所提供的域名、IP地址后,能够进行监测、阻断、记录日志等动作。
2
当开启监测选项后,在情报概况中可以查看情报命中趋势、情报类型命中分布、以及源IP、目的IP、源MAC等信息。
3
当阻断选项开启后,系统会对命中情报的会话做阻断。
4
记录日志选项开启后,会将命中情报日志信息发送到Panalog。
5
支持白名单功能,加入白名单的IP和域名,不会命中情报,也不会做相应的动作。
情报应用实例
某内测用户,开启威胁情报后即发现了大量命中。
对内网主机进行杀毒排查,果然发现了威胁。
威胁情报能够帮助用户快速发现内网可能存在异常的主机,高效地处理安全问题。
Panabit系统内置的情报为开源情报,每天更新。所谓开源情报,指的是全球范围内的安全公司或安全从业人员公开发布的威胁情报。需要注意的是,由于国际上对威胁情报的定义尺度不一,有一些常用的下载网站甚至DNS因为服务过恶意程序会被归类为威胁,因此开源情报一般不推荐直接阻断,而是在命中后,对内网主机做进一步的校验,以确定是否真正存在威胁;其中,将可以忽视的问题加到白名单,依次循环往复,就能更好的保障自身的网络安全。
如果您发现我们的情报识别有误,产生了误判,也可以发送邮件到派网安全响应小组(cert@panabit.com)向我们反馈。
除了开源的威胁情报外,Panabit还对接了CEATI(网络安全威胁情报生态联盟)的情报;另外对于情报的精确度有更高需求的用户,也可以购买天际友盟的商业情报。
网络安全威胁情报生态联盟 ,英文全称:Cybersecurity Ecology Alliance of Threat Intelligence ,简称:CEATI,联盟是由奇安信威胁情报中心联手国内多个著名安全公司共同发起的共建威胁情报行业生态的联盟机构,旨在以威胁情报能力应用为核心,打造新生态圈模式,情报使能、共谋共策、开放合作、共赢未来。
联盟成员公司,能力涵盖情报运营、APT跟踪、样本对抗、Web安全、数据安全、大数据分析、云安全、等保合规安全硬件等多方面关键技术。联盟依托奇安信、天际友盟大数据基础平台,为联盟内情报分析和处理提供有力支撑。
联盟同时致力于降低行业威胁情报利用门槛、提升威胁情报使用效果以及体现最终客户侧的威胁情报价值,从而在整体上提高国内安全防护水位。
总而言之,基于自身DPI及高性能的优势,我们致力于将Panabit打造成为一个开放的威胁情报平台,之后会陆续对接更多的商用威胁情报进来,也欢迎威胁情报厂商与我们联系对接。
升级包下载地址
访问Panabit官网下载中心获取:
https://www.panabit.com/download
支持威胁情报,基于AX50平台打造的新产品已上架京东官方旗舰店并长期供应中,一体包打满足以下功能需求:分与支总部间组网,路由,负载,流控,上行网为管理,SD-WAN,VPN,AC(WiFi控制器),网故络障定位,视会频议卡顿,公安151号日令志留存计审法规要求,挖风矿险等问题…
解决方案&销售咨询 联系我们